您的 vCenter Server 系統和相關聯的服務透過 vCenter Single Sign-On 進行驗證以及透過 vCenter Server 權限模型進行授權的方式受到保護。您可以修改預設行為,並採取步驟限制對您環境的存取。
請注意,在您保護 vSphere 環境時,也必須保護與 vCenter Server 執行個體相關聯的所有服務。在一些環境中,您可以保護數個 vCenter Server 執行個體。
- vCenter 和加密通訊
- 依預設 (「即時可用」), vCenter Server 與其他 vSphere 元件之間的所有資料通訊均已加密。在某些情況下,根據環境的設定方式,一些流量可能未加密。例如,可以為電子郵件警示設定未加密的 SMTP,為監控設定未加密的 SNMP。DNS 流量也未加密。 vCenter Server 會接聽連接埠 80 (TCP) 和連接埠 443 (TCP)。連接埠 443 (TCP) 是業界標準的 HTTPS (安全 HTTP) 連接埠,並使用 TLS 1.2 加密進行保護。連接埠 80 (TCP) 是業界標準的 HTTP 連接埠,不使用加密。連接埠 80 的用途是將請求從連接埠 80 重新導向到連接埠 443,以確保這些請求的安全。
- 強化所有 vCenter 主機
- 保護 vCenter 環境的第一步是強化 vCenter Server 或其相關聯服務執行所在的每部機器。類似的考量適用於實體機器或虛擬機器。始終安裝適用於您作業系統的最新安全性修補程式,並遵循業界標準最佳做法來保護主機電腦。
- 瞭解 vCenter 憑證模型
- 依預設,VMware Certificate Authority 會使用 VMCA 所簽署的憑證在環境中佈建每台 ESXi 主機和每個機器。如果您的公司原則需要,可以變更預設行為。如需詳細資料,請參閱 vSphere 驗證說明文件。
- 設定 vCenter Single Sign-On
- vCenter Server 及其相關聯的服務受到 vCenter Single Sign-On 驗證架構的保護。當您首次安裝軟體時,請為 vCenter Single Sign-On 網域的管理員指定密碼,預設為 [email protected]。僅該網域做為身分識別來源初始可用。您可以新增外部身分識別提供者,例如 Microsoft Active Directory Federation Services (AD FS),以進行同盟驗證。您可以新增其他身分識別來源 (Active Directory 或 LDAP),並設定預設身分識別來源。能夠向其中一個身分識別來源進行驗證的使用者可以檢視物件並執行工作 (如果有權執行這些作業)。如需詳細資料,請參閱 vSphere 驗證說明文件。
- 將角色指派給具名使用者或群組
- 為了更好地記錄,請將您授與物件的每個權限與具名使用者或群組,以及預先定義的角色或自訂角色相關聯。vSphere 權限模型提供很大的彈性,可透過多種方式為使用者或群組授權。請參閱 瞭解 vSphere 中的授權和 一般工作所需的權限。
- 設定 PTP 或 NTP
- 為環境中的每個節點設定 PTP 或 NTP。憑證基礎結構需要準確的時間戳記,如果節點不同步,則無法正確運作。
